Core Concepts
주거용 프록시(RESIP)는 데이터 센터 네트워크가 아닌 주거 네트워크에 배치되어 있어 전 세계적으로 수십만 개의 출구 노드를 가지고 있으며, 이를 악용한 다양한 악성 활동이 발생하고 있다. 본 연구에서는 RESIP 트래픽을 대규모로 수집하고 분석하여 RESIP 서비스의 악용 실태를 밝혀내고, 이를 탐지할 수 있는 기계 학습 기반의 분류기를 개발하였다.
Abstract
본 연구는 주거용 프록시(RESIP) 서비스의 특성과 규모, 그리고 RESIP 트래픽의 특성과 악용 실태를 분석하였다.
RESIP 서비스는 데이터 센터가 아닌 주거 네트워크에 배치되어 있어 전 세계적으로 수십만 개의 출구 노드를 가지고 있다. 이를 악용한 다양한 악성 활동이 발견되었다:
정부, 군, 교육기관 등의 보안 민감 웹사이트 접속: RESIP을 통해 현지 사용자로 위장하여 이러한 웹사이트에 접속하는 사례가 발견되었다. 이를 통해 접근 통제를 우회하고 탐지를 피할 수 있다.
대규모 이메일 스팸 활동: RESIP을 통해 전 세계적으로 수백만 명의 수신자에게 스팸 메일을 전송하는 활동이 관찰되었다. 이는 IP 기반 차단 기법을 무력화시킨다.
이러한 악성 활동을 탐지하기 위해 기계 학습 기반의 RESIP 트래픽 분류기를 개발하였다. 특히 첫 5개 패킷만으로도 93.04%의 재현율과 92.87%의 정밀도로 RESIP 트래픽을 탐지할 수 있다.
Stats
RESIP 노드 수: 총 2,122,255개, 213개국에 분포
RESIP 트래픽 규모: 3TB, 1.16억 개 트래픽 흐름
보안 민감 웹사이트 접속 트래픽: 20,713개
이메일 스팸 활동: 465,664개 발신자 이메일, 2,289,945개 수신자 이메일, 549,424개 스팸 메시지
Quotes
"RESIP 서비스는 데이터 센터가 아닌 주거 네트워크에 배치되어 있어 전 세계적으로 수십만 개의 출구 노드를 가지고 있다."
"RESIP을 통해 정부, 군, 교육기관 등의 보안 민감 웹사이트에 접속하여 현지 사용자로 위장할 수 있다."
"RESIP을 통해 전 세계적으로 수백만 명의 수신자에게 스팸 메일을 전송하는 활동이 관찰되었다."